Cette page décrit plusieurs exemples courants d'utilisation des restrictions sur les organisations.
Restreindre l'accès à votre organisation
Dans cet exemple, l'administrateur Google Cloud et l'administrateur du proxy de sortie L’organisation A s’engage ensemble pour interdire aux employés d’accéder uniquement aux ressources de leur organisation Google Cloud.
Pour limiter l'accès à votre organisation uniquement, procédez comme suit :
En tant qu'administrateur Google Cloud, vous pouvez obtenir l'ID d'organisation Google Cloud Pour l'organisation A, exécutez la commande
gcloud organizations list:gcloud organizations listVoici l'exemple de résultat:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4En tant qu'administrateur du proxy de sortie, vous devez obtenir l'ID de l'organisation dans Google Cloud administrateur, composez la représentation JSON de la valeur de l'en-tête au format suivant:
{ "resources": ["organizations/123456789"], "options": "strict" }En tant qu'administrateur du proxy de sortie, encodez la valeur de l'en-tête de requête en suivant les spécifications de la section 5 du document RFC 4648.
Par exemple, si la représentation JSON de la valeur d'en-tête est stockée dans le fichier
authorized_orgs.json, pour encoder le fichier, exécutez la commande basenc suivante :$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoEn tant qu'administrateur de proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant soit inséré dans toutes les requêtes provenant des appareils gérés de l'organisation A :
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Restreindre l'accès à votre organisation et autoriser les requêtes de lecture vers les ressources Cloud Storage
Dans cet exemple, l'administrateur Google Cloud et l'administrateur du proxy de sortie de l'organisation A s'engagent à limiter l'accès des employés aux seules ressources de leur organisation Google Cloud, à l'exception des requêtes de lecture des ressources Cloud Storage.
Les administrateurs peuvent choisir d'exclure les requêtes de lecture des ressources Cloud Storage de l'application des restrictions de l'organisation pour s'assurer que leurs employés peuvent accéder aux sites Web externes qui utilisent Cloud Storage pour héberger du contenu statique. L'administrateur
utilise l'option cloudStorageReadAllowed pour autoriser les requêtes de lecture vers les ressources Cloud Storage.
Pour limiter l'accès à votre organisation uniquement et autoriser les requêtes de lecture aux ressources Cloud Storage, procédez comme suit :
En tant qu'administrateur Google Cloud, pour obtenir l'ID d'organisation Google Cloud de l'organisation A, utilisez la commande
gcloud organizations list:gcloud organizations listVoici l'exemple de résultat:
DISPLAY_NAME: Organization A ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4En tant qu'administrateur de proxy de sortie, après avoir obtenu l'ID de l'organisation auprès de l'administrateur Google Cloud, composez la représentation JSON de la valeur d'en-tête au format suivant :
{ "resources": ["organizations/123456789"], "options": "cloudStorageReadAllowed" }En tant qu'administrateur du proxy de sortie, encodez la valeur de l'en-tête de requête en suivant les spécifications de la section 5 du document RFC 4648.
Par exemple, si la représentation JSON de la valeur de l'en-tête est stockée dans le
authorized_orgs.json, exécutez la commande suivante pour encoder le fichier : Commande basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lEn tant qu'administrateur de proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant soit inséré dans toutes les requêtes provenant des appareils gérés de l'organisation A :
X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=lLes employés de l'organisation A ont désormais accès à leur organisation Google Cloud et l'accès en lecture aux ressources Cloud Storage.
Autoriser les employés à accéder à l'organisation Google Cloud d'un fournisseur
Dans cet exemple, l'administrateur Google Cloud et l'administrateur du proxy de sortie de l'organisation B collaborent pour autoriser les employés à accéder à une organisation Google Cloud d'un fournisseur en plus de leur organisation Google Cloud existante.
Pour limiter l'accès des employés à votre organisation et à celle du fournisseur uniquement, procédez comme suit :
En tant qu'administrateur Google Cloud, contactez le fournisseur pour obtenir l'ID de son organisation Google Cloud.
En tant qu'administrateur de proxy de sortie, pour inclure l'ID de l'organisation du fournisseur en plus de l'ID de l'organisation existant, vous devez mettre à jour la représentation JSON de la valeur de l'en-tête. Une fois que vous avez obtenu l'ID de l'organisation du fournisseur auprès de l'administrateur Google Cloud, mettez à jour la valeur de l'en-tête au format suivant :
{ "resources": ["organizations/1234", "organizations/3456"], "options": "strict" }En tant qu'administrateur du proxy de sortie, encodez la valeur de l'en-tête de requête en suivant les spécifications de la section 5 du document RFC 4648.
Par exemple, si la représentation JSON de la valeur de l'en-tête est stockée dans le
authorized_orgs.json, exécutez la commande suivante pour encoder le fichier : Commande basenc:$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KEn tant qu'administrateur du proxy de sortie, configurez ce dernier de sorte que les éléments suivants un en-tête de requête est inséré dans toutes les requêtes provenant des appareils gérés. dans l'organisation B:
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0KLes employés de l'organisation B ont désormais accès à la fois au fournisseur et à ses organisations Google Cloud.
Limiter l'accès aux importations uniquement
Dans cet exemple, l'administrateur Google Cloud et l'administrateur du proxy de sortie L'organisation C s'engage ensemble pour limiter l'accès en importation des employés aux seules ressources du organisation Google Cloud.
Pour limiter l'accès en importation à votre organisation, procédez comme suit:
En tant qu'administrateur Google Cloud, vous pouvez obtenir l'ID d'organisation Google Cloud Pour l'organisation C, exécutez la commande
gcloud organizations list:gcloud organizations listVoici un exemple de résultat :
DISPLAY_NAME: Organization C ID: 123456789 DIRECTORY_CUSTOMER_ID: a1b2c3d4En tant qu'administrateur de proxy de sortie, après avoir obtenu l'ID de l'organisation auprès de l'administrateur Google Cloud, composez la représentation JSON de la valeur d'en-tête au format suivant :
{ "resources": ["organizations/123456789"], "options": "strict" }En tant qu'administrateur de proxy de sortie, encodez la valeur de l'en-tête de la requête en suivant les spécifications de la section 5 de la RFC 4648.
Par exemple, si la représentation JSON de la valeur d'en-tête est stockée dans le fichier
authorized_orgs.json, pour encoder le fichier, exécutez la commande basenc suivante :$ cat authorized_orgs.json | basenc --base64url -w0 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQoEn tant qu'administrateur de proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant ne soit inséré que pour les requêtes avec les méthodes PUT, POST et PATCH provenant des appareils gérés de l'organisation C :
X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
Étape suivante
- Découvrez les services compatibles avec les restrictions d'organisation.